업비트 해킹 자금, 이더리움 익명화…거미줄 같은 ‘자금 세탁’ 작성일 11-28 32 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">솔라나→이더리움→레일건으로 이어진 세탁 경로<br>445억 솔라나 계열 토큰 탈취<br>바이낸스·DEX·디파이 프로토콜 다수 활용<br>전문가 “정황은 있지만 배후 특정은 아직 이르다”</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="8b9Ltmx2Od"> <p contents-hash="a1956e33a5c9785481ec17125b485f2a3a2bfd8f1f08bf524d23d7bae0188894" dmcf-pid="6K2oFsMVOe" dmcf-ptype="general"> [이데일리 안유리 기자] 업비트에서 탈취된 자금이 수차례 디파이(DeFi·탈중앙화 금융)와 거래 추적이 어려운 믹싱 프로토콜을 거치며 자금세탁이 이뤄지고 있다. </p> <figure class="figure_frm origin_fig" contents-hash="5e7ec7c36a5a03c0ff2193ab4eb98536633dc046fdd75ea8136db2dd574e7d1c" dmcf-pid="Pnoh81DgOR" dmcf-ptype="figure"> <p class="link_figure"><img alt="28일 서울 한 지하철역에 설치된 업비트 광고. (연합뉴스)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/28/Edaily/20251128171048705fenw.jpg" data-org-width="670" dmcf-mid="fCerKYNdri" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/28/Edaily/20251128171048705fenw.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 28일 서울 한 지하철역에 설치된 업비트 광고. (연합뉴스) </figcaption> </figure> <div contents-hash="b1a59b760918bf9308d946ad39b7988bd3c6553521832b9253c680bdad447707" dmcf-pid="QLgl6twaDM" dmcf-ptype="general"> 28일 가상자산 업계 전문가에 따르면, 업비트에서 탈취된 자금 일부가 수차례 디파이 프로토콜을 거쳐 이더리움으로 환전됐고, 해커가 해당 자금에 대해 익명화 과정을 거치고 있다. </div> <p contents-hash="a6b6062d82f508551ae48b0a02b63aeb9c0c2ef0159cc26bd0533864496eae79" dmcf-pid="xoaSPFrNOx" dmcf-ptype="general">조재우 한성대 교수는 “해커가 이더리움을 레일건(Railgun)으로 옮겨서 익명화 과정을 시키기 시작했다”면서 “레일건은 말그대로 익명화 서비스”라고 말했다. </p> <p contents-hash="05780ddc3ad0a2d9a6d66bce728127840ac6f061b607d580cff27a54fdee2fee" dmcf-pid="yt36vgb0sQ" dmcf-ptype="general">레일건은 온체인 프라이버시 프로토콜이다. 스마트컨트랙트 기반으로 이더리움·BSC·폴리곤·아비트럼 등에서 작동한다. 사용자가 토큰을 컨트랙트에 입금하면 그 자산을 암호화된 형태로 바꾸고, 제로지식증명(zk-SNARK)기술로 ‘누가 얼마를 어디로 보냈는지’를 숨긴 채 거래를 가능하게 한다. </p> <figure class="figure_frm origin_fig" contents-hash="e31f15aad1b0f5fe6dde02388900e125481830865b4b1de009edff1d8093857d" dmcf-pid="WF0PTaKprP" dmcf-ptype="figure"> <p class="link_figure"><img alt="업비트 해커가 자금세탁 과정에서 사용한 이더리움 지갑 거래 흐름. 업비트 해커는 탈취 자금을 솔라나에서 다수 지갑으로 분산한 뒤, 올브릿지(Allbridge)를 통해 이더리움으로 이동시키고 USDT로 환전했다. (사진=이더스캔 갈무리)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/28/Edaily/20251128171050131idug.jpg" data-org-width="670" dmcf-mid="4v0PTaKpIJ" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/28/Edaily/20251128171050131idug.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 업비트 해커가 자금세탁 과정에서 사용한 이더리움 지갑 거래 흐름. 업비트 해커는 탈취 자금을 솔라나에서 다수 지갑으로 분산한 뒤, 올브릿지(Allbridge)를 통해 이더리움으로 이동시키고 USDT로 환전했다. (사진=이더스캔 갈무리) </figcaption> </figure> <div contents-hash="5f7dd7b7539f4e1b0a08e8f14cf7529085a3845f49088ae314a7bee2ef98d920" dmcf-pid="Y3pQyN9UO6" dmcf-ptype="general"> 업비트에 따르면 거래소 해킹된 자금은 솔라나 계열의 토큰 24종으로, 유출 규모는 445억 원 상당이다. </div> <p contents-hash="fa8383b1032dbb3ce974e09985e67a4891a8081f367480a2cc31304aa6fc4b62" dmcf-pid="G0UxWj2uD8" dmcf-ptype="general">가상자산추적분석 전문기업 클로인트, 조재우 교수 등 업계 전문가들의 분석을 종합하면, 해킹된 토큰은 여러개의 지갑으로 전송된 뒤, 크게 솔라나 토큰→솔라나→USD코인(USDC)→테더(USDT)→이더리움 흐름으로 환전한 것으로 나타난다.</p> <p contents-hash="d66ce695782f65efc21b4ed240c32869f82b2f20fb30b319dfbe30942e5425ee" dmcf-pid="HpuMYAV7r4" dmcf-ptype="general">그 과정에서 바이낸스와 여러 탈중앙화 거래소(DEX, 크로스체인 브릿지인 ‘올브릿지’와 플랫폼인 ‘카이버 스왑’, ‘CoW 프로토콜’ 등을 거쳤다. 이 과정에서 다수의 지갑으로 자금을 쪼개고 다시 모으는 과정이 반복됐다. </p> <p contents-hash="20ae9ce02ee9b87d23f0955a7eb9ace56c73683739e6ed5f70a815e3f82a93e3" dmcf-pid="XU7RGcfzrf" dmcf-ptype="general">올브릿지(Allbridge)는 여러 블록체인 간에 코인을 옮겨주는 크로스체인 브릿지로, 여러 체인에 흩어져 있는 디파이 프로토콜을 연결해준다. </p> <p contents-hash="cb2ecdaf366ea248b4e1f480a4e74f748a73cd5314f4d92ccda4079852335fb9" dmcf-pid="ZuzeHk4qmV" dmcf-ptype="general">카이버 스왑은 여러 DEX의 유동성을 모아주는 멀티체인 스왑·유동성 프로토콜이고, CoW 프로토콜은 이더리움 계열에서 작동하는 DEX 통합 프로토콜이다. </p> <p contents-hash="ad80ccded6646d5566c9f7b6976b52e7cb36567ffc5ffdcd317b79de40b283fe" dmcf-pid="5MerKYNdI2" dmcf-ptype="general">업비트에 따르면 27일 기준 유출된 445억 중 23억 상당의 솔레이어 토큰 자금이 동결됐다고 밝혔다. 유출 자금은 업비트가 운영 중인 온라인과 연결된 ‘핫 월렛’에서 유출됐다. </p> <p contents-hash="28f1ba17a57f6b0336b40c0cd94d233ce0bb66a4c0e24fa7650a77d68fd2b3d6" dmcf-pid="1Rdm9GjJw9" dmcf-ptype="general"><strong>라자루스 배후설…“아직 단정짓기는 이른 단계”</strong></p> <p contents-hash="6af8195100fa43aa60b18164dc90a4d2caa77d1a4e6093f5e4588c688896a555" dmcf-pid="teJs2HAirK" dmcf-ptype="general">해킹 배후와 방식은 정확히 밝혀지지 않았지만, 6년 전 같은 날인 2019년 11월 27일 북한 라자루스가 업비트 자산을 탈취한 점을 들어 북한 라자루스 배후설이 불거지고 있다. </p> <p contents-hash="23dc4f233ba38763855fb0cde092f15ada10851923b19c2d9d148bf59dcb6ce1" dmcf-pid="FdiOVXcnsb" dmcf-ptype="general">다만 실제 자금 추적과 범인을 밝히는 건 쉽지 않을 전망이다. 경찰이 2019년 업비트 해킹이 북한 라자루스·안다리엘 소행이라고 공식 결론 낸 건 2024년 11월로 5년이 걸렸다. </p> <p contents-hash="974728d44616fb072eeae92d8fb82f805341fc2e1db02ca2c2f4fc68964645c4" dmcf-pid="3JnIfZkLOB" dmcf-ptype="general">황석진 정보보호대학원 교수는 북한 소행설에 대해 “아직 단정 짓기 이른 단계로 보인다”면서 “다만 현재는 ‘가능성 열어둠’ 수준의 추측이며, 코드 분석·IP 추적·자금 흐름 등 추가 증거가 확보되지 않았기 때문에 정확한 사고경위와 침투경위 등을 확인해야 한다”고 말했다. </p> <p contents-hash="5b028debfac2367b487056efe5421eab6732b02884509d035a0951337738b51f" dmcf-pid="0iLC45EoDq" dmcf-ptype="general">황 교수는 “과거 사례처럼 위협 행위자(false flag)가 라자루스 도구를 모방할 수 있고, 한국 소프트웨어 취약점 악용 사례(2025년 Operation SyncHole)가 별도 존재한다”면서 “2019년과 같은 날짜이고 탈취 규모, 네이버와 MOU 발표일 등의 정황 때문에 북한의 라자루스 소행을 조심스럽게 추정하는 것”이라고 말했다. </p> <p contents-hash="1af78e5bf22801f60892bcdfbdf0296b43807551a04a9f0194fc3b08afbb0d9f" dmcf-pid="pnoh81Dgrz" dmcf-ptype="general">업비트 측은 유출된 자산은 업비트 보유 자산으로 전액 보전할 예정으로 회원 자산에는 영향을 미치지 않는다고 강조했다. 업비트 관계자는 “지속적으로 추적을 진행하고 있으며, 관련 프로젝트 및 기관과 협력해 추가적인 자산 동결 조치를 진행하고 있다”면서 “추가로 동결된 자금이 있다면 추후 공지할 예정”이라고 말했다.</p> <p contents-hash="4009837a9cd71964ba71ae72e67e851e6276299e0b5f5b2049e0fa5b4ec1f957" dmcf-pid="ULgl6twaE7" dmcf-ptype="general">안유리 (inglass@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 보이넥스트도어, 홍콩 화재 참사에 팀+팬덤 이름으로 50만 홍콩달러 기부 11-28 다음 AI 반도체 열폭주 시대…데이터센터 식히는 '2상 냉각' 뜬다 11-28 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
